L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
L'escola va publicar les imatges d'una alumna menor d'edat, en obert, al web de l'escola i a la plataforma d'emmagatzematge de fotos que gestiona l'escola, sense comptar amb el consentiment previ dels seus progenitors.
Es canvia el criteri inicial (en què es considerava el CTTI corresponsable) i es declara que el CTTI, com a encarregat del tractament, ha comès una infracció molt greu per no haver seguit les instruccions del responsable (els departaments, etc.). També per no haver vetllat perquè, en les trucades del SAU, les entitats subencarregades informessin sobre protecció de dades, cosa que incloïa informar que la trucada podia ser gravada.
La història clínica de la fundació denunciada està configurada de manera que, des del disseny i per defecte, els metges propis i externs de la fundació poden accedir-hi, a través dels sistemes d'informació de la fundació. Aquest fet va provocar que un metge extern que va atendre la persona denunciant en el marc d'una assistència sanitària privada accedís a la seva història clínica, sense el seu consentiment explícit ni cap altra base jurídica que legitimés aquest tractament. En aquest cas, no s'imputa la vulneració del deure de la protecció de dades des del disseny i per defecte, atès que hi ha un concurs ideal d'infraccions i només s'imputa la infracció més greu; és a dir, la vulneració del principi de licitud (qualificada com a molt greu). Tampoc s'imputa la vulneració del principi de limitació de la finalitat, perquè queda subsumida en la infracció relativa al principi de licitud.
La persona reclamant tindria dret a accedir a la identitat de les persones que han prestat declaració com a testimonis en el si dels expedients sancionadors sol·licitats, en virtut del seu dret a conèixer l’origen de les seves dades personals i atesa la rellevància de tal informació per a l’exercici del seu dret de defensa.
Es planteja una consulta sobre si el delegat de protecció de dades pot ser alhora el director dels serveis jurídics i membre de l’òrgan col·legiat de l’equip de gestió del sistema intern d’informació que es vol implantar a l’empara de la llei 2/2023, si es considera que és independent i si pot existir conflicte d’interessos.
Tenint en compte que el DPD actua com assessor i supervisor intern del compliment de l’RGPD i l’LOPDGDD, a més de servir com a punt de contacte i interlocutor entre l’organització, les autoritats de protecció de dades i les persones interessades (articles 38.4 i 39.1 RGPD, i article 36 LOPDGDD), sembla clar que no pot alhora desenvolupar altres funcions incompatibles, en el sentit que comporti participar en la presa de decisions sobre l’existència de tractaments de dades o sobre la manera en què aquestes dades han de tractar-se.
Cal recorda que la decisió última sobre com dur a terme una determinada activitat del tractament correspon, sempre, al responsable o a l'encarregat del tractament, però és essencial que el DPD pugui assessorar i donar la seva opinió lliurement i sobre la base dels fets i dels seus coneixements especialitzats, sense cap classe de condicionant.
En aquest cas, per tal d’evitar conflictes d’interessos, convindria que la persona designada com a delegada de protecció de dades no acumulés alhora el càrrec de Director dels serveis jurídics ni de membre de l’òrgan col·legiat del responsable del sistema intern d’informació, per tal d’evitar conflictes d’interessos en l’exercici de les seves funcions o intervenir en la determinació dels fins i els mitjans del tractament de les dades personals de l’entitat pública, o que tingui atribuïdes funcions o altres responsabilitats que afectessin la seva independència en les seves funcions com a delegat de protecció de dades.
En l’escenari plantejat en la consulta no resulta d’aplicació l’article 22.8 de la LOPDGDD en relació amb l’article 89.1 del mateix text legal, que fa referència al tractament per part de l’ocupador de dades obtingudes a través de sistemes de càmeres o videocàmeres. En concret no aplicaria l’excepció prevista en aquest article 89.1 quan estableix: “ En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por los trabajadores o los empleados públicos se entenderá cumplido el deber de informar cuando existiese al menos el dispositivo al que se refiere el artículo 22.4 de esta ley orgánica”, ja que el responsable del tractament no és l’ocupador i els possibles afectats pel sistema de videovigilància no són els seus treballadors.
En canvi, la base jurídica de l’interès legítim (article 6.1.f) RGPD, podria habilitar la comunicació de les imatges del sistema de videovigilància de la primera entitat a la segona per tal que aquest adopti les mesures oportunes en relació amb els fets enregistrats.
Igualment, pel que fa a l’obertura d’un expedient disciplinari en base a dites imatges, des del punt de vista procedimental, ha d’existir una actuació prèvia, com podria ser la incoació d’una informació reservada per part de l’òrgan competent, que habiliti i documenti els termes concrets de la petició de comunicació.
Si es fes un acord de corresponsabilitat, entre les dues entitats, que complís amb tots els requisits normatius, inclòs el dret d’informació, de manera que la primera, fos responsable del tractament amb la finalitat de videovigilància previst a l’article 22 LOPDGDD (seguretat) i la segona, fos responsable del tractament amb la
finalitat prevista a l’article 89 LOPDGDD (control laboral) es podria considerar que el tractament s’adequa a la normativa de protecció de dades.
La persona reclamant tindria dret a accedir a la identitat de les persones que han prestat declaració com a testimonis en el si dels expedients sancionadors sol·licitats, en virtut del seu dret a conèixer l’origen de les seves dades personals i atesa la rellevància de tal informació per a l’exercici del seu dret de defensa.
S'estima la reclamació de tutela formulada per la persona reclamant contra la Direcció General de la Policia (DGP), atès que no va respondre la sol·licitud de supressió en el termini legalment establert. No cal efectuar un pronunciament sobre el fons en relació amb les diligències policials suprimides per la DGP. Això no obstant, cal desestimar-la en relació amb unes altres diligències policials concretes, atès que la DGP va requerir al reclamant documentació justificativa de la seva petició i aquesta persona no la va aportar.